פרשנות | לממשלה החדשה יש הרבה עבודה בתחום ההגנה בסייבר
אם ראש הממשלה ישאל מחר את ראש מערך הסייבר הלאומי כמה תקיפות היו בישראל - אין לו שום דרך טובה לדעת | אף שבישראל קיים הידע הטוב ביותר בעולם להתגוננות מפני סייבר, המערכת הפוליטית לא מגלה עניין מיוחד לייצר את ההגנות המתאימות
רם לוי
| 13/11/2022
bigstock
רגע אחרי הבחירות, כשנדמה שמדינת ישראל נמצאת סוף סוף לקראת יציבות שלטונית, חשוב להאיר זרקור על אחד הנושאים החשובים העומדים לפתחה של הממשלה הבאה – נושא הסייבר.
בשנים האחרונות, מאז הקורונה בפרט, כמות מתקפות הסייבר על ארגונים בישראל הולכת וגדלה. מנעד ההתקפות הרחב כולל מתקפות של מדינות כמו איראן וצפון קוריאה, למטרות ריגול שיבוש, תודעה, ומטרות כלכליות באמצעות מתקפות כופרה.
בנוסף, ישנו גידול מערכי של הפשיעה המחתרתית המקוונת, שמשפיע גם על ישראל. ארגונים אלו מבצעים התקפות כופרה, פישינג מאסיבי וסחר עצום במידע והדבר מוביל לזרימת כספים אדירה לארגוני פשיעה בצורה מאורגנת ובהיקפים בינלאומיים.
כפי שראינו בפרשת אתי אלון, כשכסף זורם לארגוני הפשיעה מתחילים מאבקי הכוח, וכשיש מאבקי כוח, אנשים מתים. זה יהיה מסוכן כאשר ארגוני פשיעה ישימו את ידם על היכולות הטכנולוגיות הקיימות, אבל עוד יותר מסוכן כאשר זה יקרה על ידי ארגוני טרור.
מדובר במצב אבסורדי, שבו מדינה כמו ישראל, שיש בה את מיטב הידע והחברות המתמחות בהגנת סייבר, לא פועלת מספיק על מנת למנוע מתקפות המובילות לדליפת מידע רגיש שיכול לשמש מדינות וארגוני אויב העומדים מאחורי התקיפות, למשל איראן, חמאס וחיזבאללה.
בכל הקשור להגנת הסייבר, החברה נמצאת בצומת דרכים. האם ממשיכים למחשב כמעט את כל הדברים ששולטים על חיינו ומקווים שלא יקרה שום דבר רציני, או שמשנים את האופן שבו אנחנו מגינים על מרחב הסייבר.
הדבר יצריך התארגנויות חדשות, הכשרה מאסיבית של כוח אדם, רגולציה, אמנות ויצירתיות, שיתופי פעולה בינלאומיים חסרי תקדים (כולל שיתופי פעולה מחייבים בין הסקטור הפרטי לממשלות בעולם), הזרמת משאבים אדירים לגופי אכיפת חוק ומערכות הביטחון, ובעיקר הפנמה שאם לא נעשה זאת - אנחנו צפויים אולי לעתיד עם כמויות מתקפות ופשיעה חסרות תקדים שיהיה קשה לעצור.
בישראל, כמו בעולם כולו, ישנם שלושה מגזרים עיקריים שסובלים יותר מכולם ממתקפות סייבר: הבריאות, הלוגיסטיקה ומוסדות החינוך. בנוסף אליהם, גם הרשויות המקומיות סובלות מאוד ממתקפות כאלה, כפי שעולה מדו"ח מבקר המדינה שפורסם ביולי השנה.
על פי הדו"ח, 41% מהרשויות המקומיות חוו אירועי סייבר בין השנים 2019 עד 2021, אולם 49% מהן לא ביצעו מבדקי חדירת סייבר באותן שנים. בנוסף, ל-61% מהרשויות אין תוכנית להתאוששות ממתקפת סייבר, ל-64% אין נוהל אבטחת מידע ו-34% מהן לא מינו מנהל או ממונה על אבטחת המידע.
הסכנה במתקפות הסייבר הללו היא כפולה, שכן לצד החשש מדליפת מידע אישי רגיש של אזרחים ישנה גם סכנה בהשבתת מערכות חיוניות העלולה לשבש ואף להשבית את פעילות המשק. כמדינה, ישראל אינה ערוכה למתקפה כזו - וכדי להתמודד עם המצב על הממשלה החדשה שתקום לנקוט כמה צעדים אקוטיים:
ברמת המדינה, ש לבצע בדחיפות מיקוד ב"היגיינת סייבר לאומית". על אף תיאורים נרחבים של תהליכי דיגיטציה, בספר היעדים האסטרטגיים של משרדי הממשלה לא מופיעה באף משרד התייחסות להגנת סייבר. לאור זאת, על המדינה להכליל בדחיפות היבטים של הגנת סייבר בתוכניות העבודה של כלל משרדי הממשלה.
כאן צריך לומר, לא מדובר בעוד קמפיין העלאת מודעות לפישינג, אלא מהלך לאומי משמעותי שמטרתו שכמה שיותר ארגונים ואנשים יאמצו פרקטיות הגנה בסיסיות שכוללות: התקנת אנטי וירוס (או EDR), אימוץ סיסמאות כפולות בחשבונות דואר וסושיאל, ביצוע עדכוני גרסאות לתוכנות ומערכות הפעלה וגיבויים. זה בלבד יובל לצניחה דרמטית במתקפות הסייבר בישראל.
צעד קריטי נוסף הוא קידום חובות הדיווח על גופים, חברות וארגונים, במגזר הציבורי והפרטי כאחד, שחווים מתקפת סייבר. אם ראש הממשלה ישאל מחר את ראש מערך הסייבר הלאומי כמה תקיפות היו בישראל - אין לו שום דרך טובה לדעת.
ואם לא יודעים כמה תקיפות היו, אין דרך לדעת מהו הסיכון האמיתי בעת מתקפת סייבר, שכן רוב החברות שנפרצות לא מדווחות למקום אחד שמרכז את הדיווחים ומקבל תמונה רחבה ואמיתית של הנזק.
לפחות בחברות הציבוריות, חשוב ליצור סטנדרט אחיד של דיווח לגוף אחד, למשל למערך הסייבר הלאומי, על מנת לייצר ניהול מסודר של הסיכונים ומשברי הסייבר בדומה למה שנעשה בארה"ב על ידי ה-SEC (הוועדה לניירות ערך ובורסות).
בהמשך לכך, על המדינה לקדם את הסדרת שיתוף הפעולה בין חברות הסייבר לגופים העיקריים האמונים על הרגולציה בתחום, קרי מערך הסייבר והרשות להגנת הפרטיות. שיתוף פעולה כזה יעודד את החברות במשק לפעול בתחום הגנת הסייבר, באמצעות חברות מייצגות מול מערך הסייבר והרשות להגנת הפרטיות.
על מנת להשלים את הפעולות ולייצר מרחב הגנת סייבר טוב יותר, יש לבצע הסדרה מוגדרת של מקצועות הסייבר ושל החברות המעניקות שירותי הגנת סייבר. אחת הדרכים לבצע זאת היא באמצעות הקמת לשכת יועצי הסייבר, בדומה ללשכות עורכי הדין או רואי החשבון, שתהיה אחראית על ההסמכה.
נוסף על כך, יש לקדם תוכנית לאומית להוזלת פרמיות הביטוח להגנת הסייבר, למשל באמצעות סטנדרט מינימום לשירותי הגנת סייבר מנוהלים.
בשורה התחתונה, אף שבישראל קיים הידע הטוב ביותר בעולם להתגוננות מפני סייבר, המערכת הפוליטית לא מגלה עניין מיוחד לייצר את ההגנות המתאימות. במדינה שבה יש כמות גדולה של חברות עם הידע, עם יכולות ההגנה ועם היכולות הטכנולוגיות הכי טובים בעולם, הפער שקיים בשטח הוא רק במוטיבציה.
הכותב הוא מייסד ומנכ"ל חברת Konfidas, החברה להגנה לניהול משברי סייבר. בעברו שימש כמרכז ועדת הסייבר הלאומית של ראש הממשלה.
אם ראש הממשלה ישאל מחר את ראש מערך הסייבר הלאומי כמה תקיפות היו בישראל - אין לו שום דרך טובה לדעת | אף שבישראל קיים הידע הטוב ביותר בעולם להתגוננות מפני סייבר, המערכת הפוליטית לא מגלה עניין מיוחד לייצר את ההגנות המתאימות
bigstock
רגע אחרי הבחירות, כשנדמה שמדינת ישראל נמצאת סוף סוף לקראת יציבות שלטונית, חשוב להאיר זרקור על אחד הנושאים החשובים העומדים לפתחה של הממשלה הבאה – נושא הסייבר.
בשנים האחרונות, מאז הקורונה בפרט, כמות מתקפות הסייבר על ארגונים בישראל הולכת וגדלה. מנעד ההתקפות הרחב כולל מתקפות של מדינות כמו איראן וצפון קוריאה, למטרות ריגול שיבוש, תודעה, ומטרות כלכליות באמצעות מתקפות כופרה.
בנוסף, ישנו גידול מערכי של הפשיעה המחתרתית המקוונת, שמשפיע גם על ישראל. ארגונים אלו מבצעים התקפות כופרה, פישינג מאסיבי וסחר עצום במידע והדבר מוביל לזרימת כספים אדירה לארגוני פשיעה בצורה מאורגנת ובהיקפים בינלאומיים.
כפי שראינו בפרשת אתי אלון, כשכסף זורם לארגוני הפשיעה מתחילים מאבקי הכוח, וכשיש מאבקי כוח, אנשים מתים. זה יהיה מסוכן כאשר ארגוני פשיעה ישימו את ידם על היכולות הטכנולוגיות הקיימות, אבל עוד יותר מסוכן כאשר זה יקרה על ידי ארגוני טרור.
מדובר במצב אבסורדי, שבו מדינה כמו ישראל, שיש בה את מיטב הידע והחברות המתמחות בהגנת סייבר, לא פועלת מספיק על מנת למנוע מתקפות המובילות לדליפת מידע רגיש שיכול לשמש מדינות וארגוני אויב העומדים מאחורי התקיפות, למשל איראן, חמאס וחיזבאללה.
בכל הקשור להגנת הסייבר, החברה נמצאת בצומת דרכים. האם ממשיכים למחשב כמעט את כל הדברים ששולטים על חיינו ומקווים שלא יקרה שום דבר רציני, או שמשנים את האופן שבו אנחנו מגינים על מרחב הסייבר.
הדבר יצריך התארגנויות חדשות, הכשרה מאסיבית של כוח אדם, רגולציה, אמנות ויצירתיות, שיתופי פעולה בינלאומיים חסרי תקדים (כולל שיתופי פעולה מחייבים בין הסקטור הפרטי לממשלות בעולם), הזרמת משאבים אדירים לגופי אכיפת חוק ומערכות הביטחון, ובעיקר הפנמה שאם לא נעשה זאת - אנחנו צפויים אולי לעתיד עם כמויות מתקפות ופשיעה חסרות תקדים שיהיה קשה לעצור.
בישראל, כמו בעולם כולו, ישנם שלושה מגזרים עיקריים שסובלים יותר מכולם ממתקפות סייבר: הבריאות, הלוגיסטיקה ומוסדות החינוך. בנוסף אליהם, גם הרשויות המקומיות סובלות מאוד ממתקפות כאלה, כפי שעולה מדו"ח מבקר המדינה שפורסם ביולי השנה.
על פי הדו"ח, 41% מהרשויות המקומיות חוו אירועי סייבר בין השנים 2019 עד 2021, אולם 49% מהן לא ביצעו מבדקי חדירת סייבר באותן שנים. בנוסף, ל-61% מהרשויות אין תוכנית להתאוששות ממתקפת סייבר, ל-64% אין נוהל אבטחת מידע ו-34% מהן לא מינו מנהל או ממונה על אבטחת המידע.
הסכנה במתקפות הסייבר הללו היא כפולה, שכן לצד החשש מדליפת מידע אישי רגיש של אזרחים ישנה גם סכנה בהשבתת מערכות חיוניות העלולה לשבש ואף להשבית את פעילות המשק. כמדינה, ישראל אינה ערוכה למתקפה כזו - וכדי להתמודד עם המצב על הממשלה החדשה שתקום לנקוט כמה צעדים אקוטיים:
ברמת המדינה, ש לבצע בדחיפות מיקוד ב"היגיינת סייבר לאומית". על אף תיאורים נרחבים של תהליכי דיגיטציה, בספר היעדים האסטרטגיים של משרדי הממשלה לא מופיעה באף משרד התייחסות להגנת סייבר. לאור זאת, על המדינה להכליל בדחיפות היבטים של הגנת סייבר בתוכניות העבודה של כלל משרדי הממשלה.
כאן צריך לומר, לא מדובר בעוד קמפיין העלאת מודעות לפישינג, אלא מהלך לאומי משמעותי שמטרתו שכמה שיותר ארגונים ואנשים יאמצו פרקטיות הגנה בסיסיות שכוללות: התקנת אנטי וירוס (או EDR), אימוץ סיסמאות כפולות בחשבונות דואר וסושיאל, ביצוע עדכוני גרסאות לתוכנות ומערכות הפעלה וגיבויים. זה בלבד יובל לצניחה דרמטית במתקפות הסייבר בישראל.
צעד קריטי נוסף הוא קידום חובות הדיווח על גופים, חברות וארגונים, במגזר הציבורי והפרטי כאחד, שחווים מתקפת סייבר. אם ראש הממשלה ישאל מחר את ראש מערך הסייבר הלאומי כמה תקיפות היו בישראל - אין לו שום דרך טובה לדעת.
ואם לא יודעים כמה תקיפות היו, אין דרך לדעת מהו הסיכון האמיתי בעת מתקפת סייבר, שכן רוב החברות שנפרצות לא מדווחות למקום אחד שמרכז את הדיווחים ומקבל תמונה רחבה ואמיתית של הנזק.
לפחות בחברות הציבוריות, חשוב ליצור סטנדרט אחיד של דיווח לגוף אחד, למשל למערך הסייבר הלאומי, על מנת לייצר ניהול מסודר של הסיכונים ומשברי הסייבר בדומה למה שנעשה בארה"ב על ידי ה-SEC (הוועדה לניירות ערך ובורסות).
בהמשך לכך, על המדינה לקדם את הסדרת שיתוף הפעולה בין חברות הסייבר לגופים העיקריים האמונים על הרגולציה בתחום, קרי מערך הסייבר והרשות להגנת הפרטיות. שיתוף פעולה כזה יעודד את החברות במשק לפעול בתחום הגנת הסייבר, באמצעות חברות מייצגות מול מערך הסייבר והרשות להגנת הפרטיות.
על מנת להשלים את הפעולות ולייצר מרחב הגנת סייבר טוב יותר, יש לבצע הסדרה מוגדרת של מקצועות הסייבר ושל החברות המעניקות שירותי הגנת סייבר. אחת הדרכים לבצע זאת היא באמצעות הקמת לשכת יועצי הסייבר, בדומה ללשכות עורכי הדין או רואי החשבון, שתהיה אחראית על ההסמכה.
נוסף על כך, יש לקדם תוכנית לאומית להוזלת פרמיות הביטוח להגנת הסייבר, למשל באמצעות סטנדרט מינימום לשירותי הגנת סייבר מנוהלים.
בשורה התחתונה, אף שבישראל קיים הידע הטוב ביותר בעולם להתגוננות מפני סייבר, המערכת הפוליטית לא מגלה עניין מיוחד לייצר את ההגנות המתאימות. במדינה שבה יש כמות גדולה של חברות עם הידע, עם יכולות ההגנה ועם היכולות הטכנולוגיות הכי טובים בעולם, הפער שקיים בשטח הוא רק במוטיבציה.
הכותב הוא מייסד ומנכ"ל חברת Konfidas, החברה להגנה לניהול משברי סייבר. בעברו שימש כמרכז ועדת הסייבר הלאומית של ראש הממשלה.
